From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <olvin@rambler.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.2 required=5.0 tests=AWL,BAYES_00,SPF_PASS
	autolearn=ham version=3.2.4
Message-ID: <489CB767.5010503@rambler.ru>
Date: Sat, 09 Aug 2008 00:15:19 +0300
From: Olvin <olvin@rambler.ru>
User-Agent: Thunderbird 2.0.0.6 (X11/20070804)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <4898274C.9010300@rambler.ru>	<200808051336.22645.skompan@kspu.kr.ua>	<489834A2.5090104@rambler.ru>	<200808051504.30049.skompan@kspu.kr.ua>	<48984571.3060202@rambler.ru>	<g7bkma$8n0$1@ger.gmane.org>	<489B1DE3.4050505@rambler.ru>
	<g7gskk$bct$1@ger.gmane.org>
In-Reply-To: <g7gskk$bct$1@ger.gmane.org>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] =?koi8-r?b?aXB0YWJsZXMgySDDxczYIFJPVVRF?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 08 Aug 2008 21:15:23 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/489CB767.5010503@rambler.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Pavel пишет:
>> $ ping ya.ru
>> connect: Network is unreachable
> Имя, как я понял, разрешить не удается?

В том то и дело, что удаётся. Иначе не было бы сообщения "Network 
unreachable".

> Изменяются ли при выполнении ping'а счетчики в выводе:
> iptables -t mangle -L OUTPUT -nv

для ping'а - нет, остаются прежними. А вот если что-то качнуть по 
ftp/http - увеличиваются. Пробовал добавить iptables -t mangle -A OUTPUT 
-p icmp -j MARK --set-mark 0
Для этого правила счётчик увеличивается, но если в это же правило 
добавить "-m owner --uid-owner user1", то для этого правила счётчик 
остаётся нулевым. Только если вместо user1 написать root, то счётчик 
начинает считать, при чём без разницы, от какого пользователя запущен 
ping...

Кто-нибудь может пояснить мне этот момент? Ведь я-то вижу, что 
uid=euid=user1 для процесса ping...

>> # ip route show table main
>> 169.254.0.0/16 dev homelan  scope link
>> 192.168.0.0/16 via 10.12.7.1 dev homelan
>> 172.16.0.0/12 via 10.12.7.1 dev homelan
>> 10.0.0.0/8 via 10.12.7.1 dev homelan
>> 224.0.0.0/4 dev homelan  scope link
> Сперва пропиши маршруты в homelan (и, возможно, еще к своему
> DNS-серверу, если он у тебя не в ней) в таблицах 101 и 102.

Зачем? Всё, что идёт на intranet адреса - идёт по таблице main 
независимо от пользователя. Это видно из приведённых правил.

> Если не ошибаюсь, нужно добавить еще правило:
> iptables -t nat -A POSTROUTING -m mark --mark 0/0 -j MASQUERADE
> (выполняет маскарадинг _всех_ меченных пакетов). Во всяком случае у меня 
> только с маскарадингом и заработало.

Возможно. Хотя при изменении выходного интерфейса адрес должен 
подставляться автоматом во время принятия второго решения о маршрутизации.